2017-05-14

Rekommendationer angående WannaCry Ransomware för NSECs kunder

Generella råd:

Kontrollera status och uppdatera patch för MS17-010 omgående
WannaCry ransomware nyttjar sårbarheter som kan sprida denna skadliga kod som en mask över nätverket och SMB protokollet.

Om man inte kan uppdatera MS17-010 så kan man förbereda en lokal brandväggsregel för att stoppa utbrott, genom att blockera portar för SMB (portar 139 och 445). Detta kan göras i brandväggar som finns mellan klientnät och på lokala brandväggar (windows firewall, mcafee Host IPS etc)

Råd McAfee:

Minimum defintionsversioner för skydd/detektion:

  • Uppdatera och replikera Master repository i ePO omgående
  • Skapa en uppdaterings task i ePO på My Organisation nivå, att uppdatera DAT samt köras omedelbart (Run Immediately) omgående

Följande definitioner är minimum för detektion:

VSE: 8527
ENS: 2978

NSEC har verifierat att ett prov på WannaCry detekteras med ovan ENS definition. Det finns även en Extra.dat tillgänglig vid behov på McAfees KB 89335

Access protection regler för skydd/detektion:

McAfee KB 89335 beskriver Access Protection regler som kan skydda mot själva krypteringen. NSEC har verifierat att de fungerar i sitt viruslabb med ett prov av WannaCry.

NSEC rekommenderar att de regler som anges i KB89335 sätts på block omgående. I samma artikel finns även information om DAC regler i ENS ATP modulen som skyddar. Vi har även verifierat att ATP modulens regelverk för rykte (reputation) detekterar ett prov av WannaCry utan signatur.

Följande filtyper är aktuella på filer som krypteras:

*.wnry
*.wcry
*.wncryt
*.wncry

Filnamn som skapas för instruktion:

@Please_Read_Me@.txt

Registry värde:

HKLM – /Software/WanaCrypt0r

(För SuperVision Endpoint kunder har vi skapat ovan regler och tasks/uppdateringar)

Råd för Fortigate:

  • Se till att IPS och AV signaturer uppdateras
  • Se till att Webbfilter, IPS och AV regler är aktiva på trafik till/från internet samt internt mellan klienter (IPS)
  • Följande signaturer bör vara aktiva i IPS om man vill upptäcka intrång mellan klienter (utbrott)

MS.SMB.Server.SMB1.WriteAndx.Trans2.Secondary.Code.Execution
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

Ytterligare information:

https://kc.mcafee.com/corporate/index?page=content&id=KB89335
http://blog.fortinet.com/2017/05/12/protecting-your-organization-from-the-wcry-ransomware
https://www.cert.se/2017/05/pagaende-ransomware-kampanj-wannacry-wcry-wannacrypt0r

mvh

NSEC